ISMS（情報セキュリティマネジメントシステム）の意味とは？

目次

• ISMS とは？
• ISMS には資格が必要？
• ISMS認証までの手順
• ISMSの要求事項
• ISMSとPマーク（プライバシーマーク）の違いとは？
• まとめ

情報が価値を持つものであると認識されるようになった現代では、情報セキュリティを高めることの重要性が以前にも増して認識されるようになりました。
情報セキュリティを高めることで、大切な個人情報や企業の機密情報を外部に漏洩させることを防ぎ、また情報を盗んで悪用するサイバー犯罪の被害を未然に防ぐことができます。

企業は複数の個人情報や顧客情報、取引情報を扱うため、情報の取り扱いに関しては最新の注意をはらう必要があります。もしこれらの情報をうっかり外部に漏らしてしまうことがあれば、企業に対する信用度は下がってしまいます。

情報セキュリティに関して、「ISMS」という情報管理のためのしくみがあります。ISMSは企業が取り組むべき情報の正しい取り扱いと管理方法について決められたものです。ISMSは国際標準化機構(ISO)、国際電気標準会議(IEC)、日本工業規格(JIS)の基準に基づいた認証を受けることができます。

以下では、ISMSとは何なのか、またそれぞれの規格についての説明やISOを取得した企業が受けるメリットなどについて解説していきたいと思います。

ISMS とは？

ISMSとは、Information Security Management System（情報セキュリティ管理システム）の略です。企業における情報セキュリティを管理するしくみのことを指します。

ISMSの考え方としては、以下の3つの要素で成り立っています。

• 機密性
• 完全性
• 可用性

簡単に説明すると、機密性は情報を外部に漏らさないこと、完全性は情報が改ざん・削除されないことや情報の処理方法が正しいこと、可用性は権限を持つ人がいつでも情報にアクセスできることを意味します。
不正利用されないようにセキュリティを高めること、バックアップを取るなどして突然のトラブルにも対応できること、限られた権限を持つ人が情報にすばやくアクセスできることが重要とされています。

この3つを徹底させるためには、情報の正しい管理と取り扱いが必要です。そのためには情報マネジメントシステムというしくみをあらかじめ定めておくことによって、万が一何かが起こった時でも被害を最小限に抑えることができます。
ISMSにおいてはこの「万が一」の場合についても起こりうるリスクとして認識し改善策を立てます。

ISMSには資格が必要？

ISMSを徹底すること自体に、特別な資格は必要ありません。もしISMSについて認定を受けるつもりであれば、規格に準拠した手順や方法を実行する必要があります。

なお、ISMSには規格の要求事項に基づいた手順や方法を実行しているか認定するための“ISMS審査員”という資格があり、日本規格協会がおこなっている「ISMS（JIS Q 27001）審査員」がそれにあたります。こちらのリンクからISMS審査員の詳細について知ることができます。

参考：日本規格協会、ISMS審査員
https://www.jsa.or.jp/jrca/jrca_seido_b2/

ISO/IEC 27001、JIS Q 27001の違いと認定機関

ISMS認定規格として、

• 国際標準化機構（ISO）
• 国際電気標準会議
• 日本工業規格

の3つの規格があります。

国際規格はISO 27001、国際電子規格はIEC27001、日本工業規格はJIS Q 27001と呼ばれています。
ISO/IEC27001という表記方法をするのは、ISOとIECが共同で行っている認定であるからです。
JIS Q 27001はISO/IEC27001を日本語に翻訳したもので、ISO/IEC27001とほぼ同じ内容です。

ISMS認証までの手順

ISMSの認証にはどのような手順でおこなわれるのでしょうか。

実は、ISMSに要求事項というおおまかな基準がありますが、明確な基準のようなものは存在しません。ではどのような点が審査されるのかというと、企業ごとに自社が抱える情報セキュリティ上の問題を洗い出し、セキュリティリスクや脅威を認識したうえで対処方法を考えます。情報の保守と管理を適切におこなっているかどうかという点について審査されます。

以下では審査までのおおまかな流れを見ていきたいと思います。

目標の明確化

ISMS認証を目指すのであれば、まず「ISMS構築のための目標」をはっきりとさせる必要があります。具体的には以下の点について目標を明確化します。

• 情報セキュリティの重要性について認識を共有する
• 何が適用対象で、どの範囲の情報の取り扱いを改善・管理するのか
• 情報セキュリティに関してどのようなリスクや脅威があるのか
• どのように問題を改善していきたいのか
• 改善するためのしくみはどのようなものか

ISMSを実行する人/グループの決定

ISMSの実行は全社一斉おこなう必要はなく、チームや部門など小さい単位でも認定を受けることができます。ほとんどは情報セキュリティ部門や各部門の責任者、もしくは役員が選出されます。

仕組みの文書化・実行

ISMSの目的・目標・適用する情報の範囲などについて文書にまとめます。
文書にまとめたあとは、計画に沿って実行していきます。もしうまくいかなかった場合、問題点を洗い出し改善策を出し、実行するというようにPDCAを回します。

ISMSは「情報セキュリティを管理するための仕組み」です。そのため、このPDCAを回すことは非常に重要なことです。

審査機関によるISMS認定審査

一連の手順を踏んだあとに審査に入ります。審査は2段階に分かれており、第一段階は書類の審査、第二段階は現場における審査です。

認定機関による審査を経たあと、基準を満たしていれば認証を受けることができます。

「ISMS認証取得のために実際にどのようなことを実行すれば取得できるのかわからない」「今のやり方であっているのかわからない」という場合、費用はかかりますがISMS認証取得のためのコンサルタント及びサポートをしている会社に依頼することを検討してもよいでしょう。

ISMSの要求事項

ISMSに明確な基準はありませんが、要求事項と呼ばれるものがあります。

要求事項は、認証を受けるためのポイントのことです。認証を受けるためには数多くの要求事項をクリアしていることが条件のため、要求事項については事前にしっかり確認しておく必要があります。

ISMSは企業が情報セキュリティ管理で目指している目標を立て、それを計画的に実行し改善すべきところは改善するというPDCAの仕組みが機能しているかが重視されます。全社を挙げて大規模におこなう必要はなく、部署単位でISMS認証をおこなうことも可能です。

ISMSとPマーク（プライバシーマーク）の違いとは？

個人情報の保護を目的とした国際規格である「Pマーク（プライバシーマーク）」があります。このPマークは、一般財団法人日本情報経済社会推進協会が認定をおこなっています。プライバシーマーク制度と呼ばれていますが、概要は以下のように説明されています。

プライバシーマーク制度は、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム—要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度です。

出典：一般財団法人日本情報経済社会推進協会、プライバシーマーク制度　概要と目的

このPマークとISMSとの違いは、扱う情報の範囲もそうですが目的も異なります。
Pマークは個人情報の保護について定められたものであるのに対し、ISMSは個人情報も含めた情報の保護・管理である点です。

ならばPマークを取得することなくISMSを取得すればよいのでは？と考えるでしょうが、PマークとISMSは上記にも述べた通り扱う情報の範囲と目的が異なります。
個人情報を扱う企業であれば、Pマークを取得していることで企業への信用にもつながります。

まとめ

以上、ISMSの解説でした。

ISMSは企業が任意でおこなうものであるため、ISMS認証された企業は「情報セキュリティについて正しく理解しており、適切な手順と方法で情報を取り扱うことができる企業」という印象を与えます。

ISMSは取得までの期間と取得費用・維持費用が少々かかるためそれほど多くの企業が実施しているわけではありません。その分ISMS認証を受けることによって企業の良い印象にもつながるため、余裕があれば取得を考えるのも良いかもしれません。